HiveArmor/hivearmor
GitHub: HiveArmor/hivearmor
企业级开源 SIEM/XDR 平台,通过实时日志关联、威胁情报和自动化响应实现超大规模安全事件的可见性与快速处置。
Stars: 0 | Forks: 0
# HiveArmor
**超大规模事件可见性引擎** — 企业级 SIEM/XDR 平台。
HiveArmor 将 SIEM(安全信息和事件管理)和 XDR(扩展检测与响应)技术与实时日志关联、威胁情报和自动化响应相结合。关联操作在数据摄入之前运行,从而减轻工作负载并缩短响应时间。
## 功能
- 实时日志关联与威胁检测
- 告警调查与事件管理
- 威胁情报与 IOC 扩充
- MITRE ATT&CK 覆盖
- 安全合规报告
- SOC AI 驱动的分析
- 端点 agent(Windows / Linux / macOS)
- 17 个集成插件(AWS、Azure、GCP、CrowdStrike、Sophos 等)
## 架构
```
Log source → Agent/Collector → gRPC → EventProcessor
→ parse → enrich → correlate
→ OpenSearch (_v3_hive_-YYYY.MM.DD) → Backend API → HiveArmor UI
```
| 服务 | 技术 |
|---|---|
| UI | Next.js 14 + React 18 (TypeScript) |
| API | Java 17 + Spring Boot 3.3 + JHipster 8 |
| 关联引擎 | Go 1.25.5 (event-processor + 17 个插件) |
| Agent | Go 1.25.5 |
| 日志存储 | OpenSearch 2.x |
| 应用数据库 | PostgreSQL 16 |
## 快速开始(本地开发)
**前置条件:** Docker、Node 20、Java 17、Go 1.25.5、Maven 3.9+
```
# 1. 启动 full stack
cd local-dev
cp .env.example .env # fill in required secrets
docker compose up -d
# 2. 启动 Next.js dev server
cd frontend-v2
npm install
npm run dev
# → http://localhost:3000 (admin / localdev123!)
```
后端 API:http://localhost:8088
OpenSearch Dashboards:http://localhost:5601
## 系统要求(生产环境)
| 数据源 | 热存储 | CPU | RAM | 磁盘 |
|---|---|---|---|---|
| 50 | 120 GB/月 | 4 核 | 16 GB | 150 GB |
| 120 | 250 GB/月 | 8 核 | 16 GB | 250 GB |
| 240 | 500 GB/月 | 16 核 | 32 GB | 500 GB |
| 500 | 1 TB/月 | 32 核 | 64 GB | 1 TB |
当数据源超过 500 个时,请添加辅助节点以进行水平扩展。
## 安装
```
# 下载 installer(推荐 Ubuntu 22.04 LTS)
wget https://github.com/hivearmor/hivearmor/releases/latest/download/hivearmor_installer
chmod +x hivearmor_installer
sudo ./hivearmor_installer
```
安装完成后,请使用输出至 `/root/hivearmor.yml` 的凭据,通过 `https://` 访问 UI。
### 所需端口
| 端口 | 协议 | 用途 |
|---|---|---|
| 22 | TCP | SSH(限制为管理员 IP 访问) |
| 80 | TCP | HTTP 重定向至 HTTPS |
| 443 | TCP | HiveArmor UI 和 API |
| 9090 | TCP | Cockpit 服务器管理 |
特定集成可能需要额外端口(详见集成指南)。
## 安全性
- 所有 agent 到服务器的通信均使用 TLS 1.3 加密
- 服务隔离在容器中,并具有严格的相互认证
- 连接通过每个 agent 24 个字符以上的唯一密钥进行身份验证
- 用户凭据在数据库中加密,并由 fail2ban 和可选的 2FA 提供保护
- 定期进行代码审查,以排查易受攻击的依赖项
## 贡献
请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解相关指南。
## 许可证
HiveArmor 是根据 AGPL version 3 许可的开源软件。请参阅 [LICENSE](LICENSE)。
标签:AMSI绕过, Go, Python工具, Ruby工具, Spring Boot, 域名枚举, 威胁检测, 安全运营中心, 日志关联分析, 日志审计, 测试用例, 网络映射, 自动化响应, 请求拦截